Sichere Verbindungen in der Cloud – Utopie oder Cisco+ Secure Connect Technologie? Nun, Letzteres. Cisco hat seine eigenen cloudbasierten Technologien für sicheren Netzwerkverkehr in das Meraki-Portfolio integriert, und ich hatte die Ehre, diese kennenzulernen und im Meraki-Portfolio frisch zu testen. Cisco spricht in diesem Zusammenhang von SASE-Technologie (Secure Access Service Edge) und bezieht sich in seinen Begriffen auf die Zero Trust-Architektur. Worum geht es also wirklich?
Die Netzwerknutzung ändert sich – und die Sicherheit muss es auch!
Ich habe einen Umbruch auf dem Markt erlebt, bei dem verschiedene Organisationen zunehmend nur noch SaaS-Dienste nutzen und sich allmählich immer mehr von Diensten verabschieden, die in ihrer eigenen Umgebung veröffentlicht wurden. Als ich hörte, dass Ciscos Sicherheitstechnologien in Form von Secure Connect-Diensten in das Meraki-Portfolio aufgenommen werden, habe ich unser eigenes FullCloud-Modell als Ausgangspunkt für unsere Betrachtung genommen, denn wenn wir vollständig in der Cloud sind, muss die Sicherheit von völlig neuen Gesichtspunkten aus betrachtet werden. Das Scannen von Bedrohungen im Netzwerkverkehr innerhalb des eigenen Netzwerks ist heutzutage fast verschwendetes Geld, denn wir alle arbeiten genau von dort aus, wo der Chef es am wenigsten erwartet.
Wie ich bereits im Frühjahr in meinem früheren Blogbeitrag angedeutet habe, bietet Cisco neben der AnyConnect VPN-Anwendung interessante Umbrella-basierte Sicherheitstechnologien zum Schutz des Netzwerkverkehrs auf Endgeräteebene an. Diese wurden nun umbenannt und in Form von Cisco+ Secure Connect-Diensten gebündelt, ergänzt durch die Zugriffsprüfung von Cisco Duo und neuen Zero Trust Access (ZTA)-Verkehr, der im Vergleich zu AnyConnect einen Sprung in den VPN-Technologien auf die nächste Ebene darstellt. Wenn dieses Gesamtpaket als abonnementbasierter Dienst in die Meraki-Cloud-Verwaltung integriert wird, sprechen wir von etwas Interessantem. Sie verwalten den Fernzugriff und die Sicherheit gemäß Ihrer Zero Trust-Architektur über die Cloud-Verwaltung Ihrer Netzwerkgeräte zum Schutz Ihrer Endbenutzer. Sie veröffentlichen auch Ihre eigenen privaten Anwendungen zur sicheren Nutzung. Sie ermöglichen sicheren Fernzugriff, ohne traditionelle, separat zu aktivierende VPN-Verbindungen.
FullCloud-Modell?
Wenn wir uns vollständig im Cloud-Modell befinden, wozu brauchen wir dann einen solchen Zero Trust Access-ähnlichen VPN-Technologieansatz? Praktisch für nichts. Ein vollständig cloudbasiertes Leben kann praktisch mit der leichtesten Cisco+ Secure Connect Lizenzstufe realisiert werden, wobei die Endgeräte mit der DNS-basierten Technologie von Umbrella geschützt werden. Auf Basisebene ist dies ein völlig ausreichender zusätzlicher Schutz für die meisten Unternehmen, die ausschließlich mit Cloud-Diensten arbeiten. Ich persönlich implementiere die Zero Trust-Architektur gerne in der Microsoft Cloud und kümmere mich dort um die Zugriffsverwaltung der Cloud-Dienste. Es ist unnötig, alles mehrfach zu tun.
Was aber, wenn man für diesen Cloud-Verkehr etwas zusätzlichen Schutz wünscht? Umbrella kann auch SSL-Entschlüsselung für den Verkehr durchführen und den Verkehr etwas detaillierter untersuchen. In diesem Fall verlässt der Verkehr praktisch die Cisco Cloud-Dienste, und die Cisco Cloud fungiert als zwischengeschalteter Teil, der den Verkehr untersucht. Ein Umbrella-Zertifikat für Endgeräte ermöglicht es Umbrella, den SSL-Verkehr auf der Cisco Cloud-Seite zu entschlüsseln und den Verkehr dann neu verschlüsselt an das Endgerät weiterzuleiten. Dadurch kann der Verkehr genauer auf konkrete Inhalte untersucht und schädliche Inhalte sowie Bedrohungen verhindert werden.
Mit denselben Umbrella-Regeln kann man übrigens auch die „Tenant Control“-Funktionen mit entschlüsseltem SSL-Verkehr testen, falls man Regeln zur Verhinderung von Datenverlusten für die Nutzung eigener Cloud-Dienste benötigt. Ich persönlich empfand es jedoch als nachteilig, die Nutzung auf den eigenen Microsoft 365-Tenant zu beschränken, da dies sofort Probleme beim Gastzugriff auf Cloud-Dienste verursachte. Hier zeigte sich sofort, dass zu viel Sicherheit auch hinderlich und wartungsintensiv sein kann, aber vielleicht funktioniert es für eine Organisation, für die die Einschränkung der Nutzung von entscheidender Bedeutung ist?
Hybridmodell?
Was aber, wenn es eigene Dienste im internen oder externen Netzwerk gäbe, zu denen der Verkehr sicher ermöglicht und die Verbindungen gemäß den Sicherheitsanforderungen der eigenen Organisation gewährleistet werden müssten? Und wie fügt sich das alles in die Meraki-Umgebung und den Fernzugriffsverkehr ein? Nun, das ist das umfassendere Anwendungsszenario, in dem genau dieses neue Zero Trust Access-Modell benötigt wird. Damit können nämlich private Ziele aus der eigenen Umgebung veröffentlicht werden. Der Verkehr zu diesen Zielen kann Beobachtungen gemäß der Zero Trust-Architektur bezüglich der Benutzerrechte und des kommunizierenden Endgeräts erfordern. Der Verkehr wird sicher von überall in die eigenen Netzwerke – oder alternativ auch zu eigenen Diensten, die im externen Netzwerk platziert sind – zugelassen.
Es wird auch ein geräteunabhängiger, browserbasierter Fernzugriff angeboten – praktisch eine Reverse-Proxy-Implementierung, die die sichere Anmeldung und die von Ihnen definierten Richtlinien bezüglich der Browseranforderungen berücksichtigt. Das Gute daran ist, dass es vollständig SaaS-basiert implementiert werden kann – ohne einen einzigen Zwischenserver, cloudbasiert. Und wenn wir von der Zero Trust Access VPN-Lösung der nächsten Generation sprechen, sprechen wir von einer interessanten Technologie, bei der der Verkehr dienstspezifisch in eigene Mikrotunnel isoliert und der Verkehr Zero Trust-ähnlich Dienst für Dienst behandelt werden kann. Und der Endbenutzer muss keinen VPN-Tunnel mehr separat aktivieren. Alles sollte auf dem Endgerät automatisch gemäß der definierten Richtlinie funktionieren, unter ganzheitlicher Berücksichtigung der Sicherheitsprüfung durch Duo. Dies ist meiner Meinung nach die Zukunft des hybriden Fernzugriffs.
Für den eigenen Bedarf!
In den letzten Jahren wurden verschiedene SASE-Lösungen von verschiedenen Herstellern angeboten. Neben diesen Cisco-Lösungen gibt es beispielsweise auch die Microsoft Global Secure Access-Lösung, ganz zu schweigen von anderen Herstellern. Wie erkennt man also die besten Fernzugriffs- und Netzwerksicherheitslösungen für den eigenen Bedarf? Dies ist eine gute Frage, die man unter Berücksichtigung der eigenen aktuellen Lösungen überdenken sollte. Wenn Ihre Organisation bereits Cisco Meraki-basierte Netzwerke und SD-WAN-Technologie verwendet und ein sicherer Zugriff auf interne Netzwerkdienste ermöglicht werden muss, kann die Lösung sehr klar sein. Ebenso bietet Umbrella einen guten und nahezu unersetzlichen zusätzlichen Schutz für kleine Organisationen, die ausschließlich Cloud-Dienste nutzen. Für Cisco+ Secure Connect spricht die Abonnementbasis. Im besten Fall benötigen Sie kein einziges Cisco-Gerät im Hintergrund und können die Technologie mit Unterstützung der Cisco Cloud nutzen. Andererseits unterstützt die Technologie im Hinblick auf den Fernzugriff auch agil Geräte anderer Hersteller, daher sollte man die Sache oft zumindest prüfen.
Verschiedene Bedürfnisse sollten immer fallweise angegangen werden, und dabei möchten wir Ihre IT-Abteilungen mit unserer Erfahrung unterstützen. Manchmal kann die nutzungsschützende und isolierende Lösung ein virtueller Desktop in der Azure Cloud sein, ein anderes Mal reicht ein leichtes Umbrella aus, um die tägliche Netzwerksicherheit DNS-basiert zu erhöhen. Bitte beachten Sie auch, dass bei der Implementierung verschiedener Sicherheitslösungen immer datenschutzrechtliche und rechtstechnische Aspekte berücksichtigt werden müssen, zu denen ich in diesem Blogbeitrag jetzt keine Stellung nehmen wollte. Aber wenn Sie über Fernzugriffslösungen nachdenken und die Dinge etwas moderner und sicherer gestalten möchten, sprechen Sie uns an, und wir überlegen gemeinsam, welches Gesamtpaket Ihre Organisation am besten unterstützt.
Above IT ist ein Partner und eine Ressource für IT-Abteilungen. Als unser Kunde erhalten Sie echte Expertise auch in Bezug auf Netzwerksicherheitslösungen, basierend auf unserer umfassenden Erfahrung. Klicken Sie also auf den Button unten und vereinbaren Sie einen kurzen Termin, damit wir Ihren Bedarf ermitteln können.